Новая вредоносная кампания, которая поставляет вредоносную программу Emotet Malware через документы Microsoft Office в виде вложений с «Поздравительной картой» в качестве названия документа.
Атакующие решили пошутить на День независимости США над пользователями в загрузке вредоносного документа и установке вредоносного ПО.
Банковский Троян EMOTET был выявлен в 2014 году. Он имеет возможность красть личную информацию, такую как имя пользователя и пароль.
Кампания вредоносного Emotet
Новая вредоносная кампания была замечена исследовательской группой Zscaler, и она активно работает со 2 июля по 4 июля: «Мы увидели более двух десятков уникальных пейлоад, поражающих наш Cloud Sandbox в течение 48 часов», - сказал
Ссылка скрыта от гостей
.Документ содержит коварное социальное инженерное сообщение, в котором пользователям предлагается включить контент, который позволяет злоумышленнику запускаться в фоновом режиме. Макрос запутан, чтобы избежать обнаружения, и использует wscript.exe для запуска команды.
Wscript загружает пейлоад через скрипт PowerShell, в конечном итоге, параметры команды De-obfuscated PowerShell загружают пейлоад Emotet и попадают в директорию temp.
Emotet – широко распространяемое программное обеспечение, которое распространяется через вредоносные спам-кампании, содержащие офисные документы, появляющиеся каждый раз с новыми возможностями.
Это мульти-компонентное вредоносное программное обеспечение, имеющее возможность красть учетные данные через браузеры и электронную почту, атаку «Man-in-the-Browser» и сбор данных электронной почты.
Во время
Ссылка скрыта от гостей
он включает RunPE, которое скрывает вредоносное ПО в процесс Legitimate, чтобы обойти сканеры безопасности и внедрить свой код в исполняемый процесс Windows.Источник:
Ссылка скрыта от гостей